Инструкция ответвенного пользователя криптосредств_ООО УК

УТВЕРЖДАЮ:
Директор ООО УК «Атал»
__________________А.А. Кутырев
«_____»____________ 20__ г.
Инструкция ответственного пользователя криптосредств ООО УК «Атал»
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Ответственный пользователь криптосредств назначается приказом
ООО УК «Атал» (далее – Общество) и отвечает за организацию, обеспечение
функционирования и безопасности криптосредств, предназначенных для защиты
персональных данных при их обработке в информационных системах
персональных данных (далее - ИСПДн).
1.2. Ответственный
пользователь
криптосредств
должен
знать
законодательные и иные нормативные правовые акты Российской Федерации и
Чувашской Республики, методические материалы в сфере обработки персональных
данных.
1.3. В своей деятельности, связанной с обработкой персональных данных
ответственный пользователь криптосредств руководствуется Положением о защите
персональных данных в ООО УК «Атал», Моделями угроз безопасности
персональных данных при их обработке в информационных системах
персональных данных Общества, настоящей Инструкцией.
1.4. Ответственный пользователь криптосредств входит в состав Комиссии
по обеспечению безопасности персональных данных в Обществе и несет
ответственность за функционирование и безопасность криптосредств,
предназначенных для обеспечения безопасности персональных данных, в процессе
эксплуатации, подготовку сотрудников по вопросам обеспечения безопасности
персональных данных с использованием криптосредств.
2. ОБЯЗАННОСТИ ОТВЕТСТВЕННОГО ПОЛЬЗОВАТЕЛЯ
КРИПТОСРЕДСТВ
Ответственный пользователь криптосредств обязан:
2.1. Соблюдать требования Положения о защите персональных данных в
ООО УК «Атал» и иных нормативных документов Общества, устанавливающих
порядок работы с персональными данными.
2.2. Осуществлять
контроль
за
организацией,
обеспечением
функционирования и безопасности криптосредств, предназначенных для защиты
персональных данных при их обработке в информационных системах
2
персональных данных:

контролировать соблюдение условий использования криптосредств,
предусмотренных эксплуатационной и технической документацией к ним;

обеспечивать надежное хранение эксплуатационной и технической
документации к криптосредствам, ключевых документов, носителей информации
ограниченного распространения;

вносить предложения по режиму охраны помещений, в которых
установлены криптосредства или хранятся ключевые документы к ним;

вести Журнал поэкземплярного учета криптосредств, эксплуатационной
и технической документации к ним, ключевых документов;

выдавать пользователям криптосредств экземпляры криптосредств,
эксплуатационной и технической документации к ним, ключевых документов под
расписку в соответствующем Журнале поэкземплярного учета криптосредств,
эксплуатационной и технической документации к ним, ключевых документов;

вести на каждого пользователя криптосредств Лицевой счет, в котором
регистрировать числящиеся за ними криптосредства, эксплуатационную и
техническую документацию к ним, ключевые документы;

контролировать передачу криптосредств, эксплуатационной и
технической документации к ним, ключевых документов между пользователями
криптосредств и (или) ответственным пользователем криптосредств под расписку в
соответствующем
Журнале
поэкземплярного
учета
криптосредств,
эксплуатационной и технической документации к ним, ключевых документов;

пломбировать (опечатывать) и контролировать сохранность печатей
(пломб) на аппаратных средствах, с которыми осуществляется штатное
функционирование криптосредств, а также аппаратных и аппаратно-программных
криптосредствах;

контролировать получение и доставку криптосредств, эксплуатационной
и технической документации к ним;

заблаговременно делать заказы на изготовление очередных ключевых
документов и рассылку на места использования для своевременной замены
действующих ключевых документов;

контролировать уничтожение неиспользованных или выведенных из
действия ключевых документов в сроки, указанные в эксплуатационной и
технической документации к соответствующим криптосредствам, или, если срок
уничтожения эксплуатационной и технической документацией не установлен, не
позднее 10 суток после вывода их из действия (окончания срока действия) под
расписку в соответствующем Журнале поэкземплярного учета криптосредств,
3
эксплуатационной и технической документации к ним, ключевых документов;

выводить из действия криптоключи, в отношении которых возникло
подозрение в компрометации, а также действующие совместно с ними другие
криптоключи;

принимать решение в чрезвычайных случаях, когда отсутствуют
криптоключи
для
замены
скомпрометированных,
об
использовании
скомпрометированных криптоключей;

проводить инструктаж пользователей криптосредств по правилам
работы с криптосредствами и ключевыми документами.
2.3. Требовать прекращения обработки персональных данных в случае
нарушения установленного порядка работ с криптосредствами или нарушения
функционирования криптосредств.
2.4. Участвовать в анализе ситуаций, касающихся нарушения условий
хранения носителей персональных данных, использования криптосредств, которые
могут привести к нарушению конфиденциальности персональных данных или
другим нарушениям, приводящим к снижению уровня защищенности
персональных данных.
2.5. Контролировать исполнение пользователями ИСПДн требований
Положения о защите персональных данных в ООО УК «Атал», Инструкции
пользователя информационных систем персональных данных ООО УК «Атал» и
прочих нормативных актов Общества в части обеспечения защиты персональных
данных с помощью криптосредств.
2.6. Принимать все необходимые меры для обеспечения безопасности
персональных данных, в случае получения от пользователей информации о фактах
утраты, компрометации ключевой информации, в частности, обеспечить
выполнение следующих мероприятий:

в каждом случае, по факту (или предполагаемой) компрометации
ключевых документов, Комиссией по обеспечению безопасности персональных
данных, проводится служебное расследование; результатом расследования является
квалификация или не квалификация данного события как компрометация;

о факте компрометации ключевой информации пользователями ИСПДн
совместно с ответственным пользователем производится информирование всех
заинтересованных участников информационного обмена;

выведенные из действия скомпрометированные ключевые документы
после проведения расследования уничтожаются, о чем делается соответствующая
запись в Журнале поэкземплярного учета;

для своевременного восстановления связи пользователю ИСПДн
4
выдается новый криптоключ; для этого создаётся резервный запас криптоключей,
использование которых осуществляется в случаях крайней необходимости по
решению ответственного пользователя криптосредств.
2.7. Подготавливать копии ключевых носителей, которые подлежат
основному учету и хранятся в сейфе ответственного пользователя. Данные копии
применяются с разрешения директора Общества, если по результатам
расследования не было установлено факта компрометации.
2.8. Хранить резервные носители ключевой информации отдельно от
рабочих (актуальных) ключей, с целью обеспечения невозможности их
одновременной компрометации.
2.9. Своевременно информировать Комиссию по обеспечению безопасности
персональных данных в Обществе о фактах утраты или недостачи криптосредств,
ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и
о других фактах, которые могут привести к разглашению защищаемых
персональных данных.
3. ПРАВА ОТВЕТСТВЕННОГО ПОЛЬЗОВАТЕЛЯ КРИПТОСРЕДСТВ
Ответственный пользователь криптосредств имеет право:
3.1. Знакомиться с нормативными актами Общества, регламентирующими
процессы обработки персональных данных.
3.2. Требовать от пользователей ИСПДн соблюдения требований
нормативных актов Общества в части обеспечения защиты информации с
помощью криптосредств.
3.3. Требовать прекращения работы в ИСПДн, как в целом, так и отдельных
пользователей, в случае выявления нарушений требований по работе с
криптосредствами,
предназначенными
для
обеспечения
безопасности
персональных данных, или в связи с нарушением функционирования
криптосредств.